Перейти к содержанию
Правила раздела

Заблокирован опасный веб-адрес

7up

От 7up
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

7up Новичок

7up

Опубликовано
Опубликовано (изменено)

C некой периодичностью, и после запуска пк всплывают сообщения от касперского о блокировке перехода на опасный веб-адрес "atotum.ru/f.exe" 

Проблема появилась после контакта с зараженной флешкой, поиск вирусов не дал результатов (KTS).

 

CollectionLog-2018.03.20-11.23.zip

Изменено пользователем 7up
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\mrmix\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('C:\Users\mrmix\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\mrmix\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFileF('c:\users\mrmix\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteFile('C:\Users\mrmix\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\mrmix\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\mrmix\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\mrmix\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\users\mrmix\appdata\local\yc', '*', true);
 DeleteFileMask('c:\users\mrmix\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\mrmix\appdata\roaming\curl');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_4C318C685C7411714880B68E04DADE6A');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
7up Новичок

7up

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\mrmix\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('C:\Users\mrmix\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\mrmix\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFileF('c:\users\mrmix\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteFile('C:\Users\mrmix\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\mrmix\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\mrmix\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\mrmix\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\users\mrmix\appdata\local\yc', '*', true);
 DeleteFileMask('c:\users\mrmix\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\mrmix\appdata\roaming\curl');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_4C318C685C7411714880B68E04DADE6A');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

Папка quarantine.zip пуста

CollectionLog-2018.03.20-12.03.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пожалуйста, используйте форму быстрого ответа вместо цитирования всего сообщения.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
7up Новичок

7up

Опубликовано
  • Автор
Опубликовано (изменено)

Из добровольно установленных мали/яндекс программ,только  яндекс визуальные закладки для хрома, установлены они были в первый запуск, проблема появилась задолго после.

AdwCleanerS1.txt

Изменено пользователем 7up
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Давайте-ка мы их очистим. Если понадобятся, после лечения установите заново.

 

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-532515229-369461707-745555771-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B05C9F539-5D66-49BC-A61C-045CE09CB683%7D&gp=811014
SearchScopes: HKU\S-1-5-21-532515229-369461707-745555771-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-532515229-369461707-745555771-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B05C9F539-5D66-49BC-A61C-045CE09CB683%7D&gp=811014
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=855400
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\mrmix\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-01-31]
FF Extension: (Поиск Mail.Ru) - C:\Users\mrmix\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-01-31]
FF Extension: (Пульт) - C:\Users\mrmix\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-01-31]
CHR HomePage: Default -> inline.go.mail.ru
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.top-page.ru/",""
CHR NewTab: Default ->  Active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html", Not-active:"chrome-extension://ngdlmklkpclkhjopnhihdedhjgjmhlaa/visual-bookmarks.html"
AlternateDataStreams: C:\Users\mrmix\AppData\Local\Temp:$DATA​ [16]
HKU\S-1-5-21-532515229-369461707-745555771-1001\...\StartupApproved\Run: => "Browser Manager"
HKU\S-1-5-21-532515229-369461707-745555771-1001\...\StartupApproved\Run: => "ycAutoLaunch_4C318C685C7411714880B68E04DADE6A"
FirewallRules: [TCP Query User{F010D640-F423-49FB-8890-8831FA231552}C:\programdata\ubar\ubar\ubar.exe] => (Block) C:\programdata\ubar\ubar\ubar.exe
FirewallRules: [UDP Query User{7F8AAB0C-1393-4F15-8BC1-C55987E8A809}C:\programdata\ubar\ubar\ubar.exe] => (Block) C:\programdata\ubar\ubar\ubar.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Удалите их. В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Peter15
      Недетектируемые опасные стиллеры.
      От Peter15
      Евгений Валентинович! Неужели ваши антивирусные решения и программы других производителей не детектят указанные в статье https://dzen.ru/a/Y_Wf0lsr6iK3hHnh стиллеры? Или это они просто-напросто нагоняют страху? Пишут, что можно даже попасть в тюрьму, если украдут нужные сессии и напишут что-либо от чужого имени...
      Да, и с наступающим!
    • Max132
      Добавление почтового адреса в спам
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • Bercolitt
      Kaspersky Plus не пускает к веб-страничке роутера.
      От Bercolitt
      Нет доступа к веб-страничке с параметрами домашнего роутера Tplinkwifi.  Если отключить Kaspersky Plus, то доступ к роутеру возможен только через браузер Microsoft Edge при переключении его в режим Internet Explorer 11 и указанием исключений в виде адресов http://tplinkwifi или http://192.168.0.1. Хорошо бы чтобы и у Kaspersky Plus были такие исключения. Временное отключения KP плохой выход. Можно успеть словить зловреда. Заметил в истории google аккаунта,что кто-то заходит в браузер Firefox из Франции во время моей работы на ПК.Со смартфона Android 13 c защитой Kaspersky Plus доступ к параметрам роутера без проблем.
      https://disk.yandex.ru/i/DZg30C2prfvDvw
    • Jamer
      Подмена буфера обмена, если в нем адрес криптокошелька
      От Jamer
      добрый. заметил, что при копировании длинных наборов (в данном случае АПИ , адреса кошельков)  вставляется из буфера эта запись, но внутри часть подменятся выражением "TRC20_Address", например.  qRaq6Y2QfVNdVXK03kkpuTRC20_Addresscxq5lmF5w. если дробить на мелкие части, то копировать и вставить можно. но целиком никак. помогите найти вражину. благодарю.
      FRST.txtAddition.txt
       
      Сообщение от модератора thyrex Перенесено из этой темы
    • maks_b
      Блокировка сайтов. Веб-контроль.
      От maks_b
      Добрый день.
      Настраиваю блокировку доступа к сайтам, сделал тестовое правило для блокировки доступа к сайту, например к ok.ru. Сайт блокируется все норм, но при включении этого правила перестает соединяться через SSL Network Extender. И любое правило запрета доступа через веб-контроль блокирует соединение через SSL Network Extender. Ошибка на скрине. Если правило отключить, то все работает. Подскажите, как исправить?
      Версия Каспера KES 12.6., KSC тоже последней версии.


×
×
  • Создать...